Tilon: Novi 'nevidljivi' bankarski malver

Opisi virusa, 14.08.2012, 11:06 AM

Silon, malver koga su otkrili istraživači kompanije Trusteer pre dve godine i koji je osposobljen da krade novac sa računa korisnika online bankovnih naloga zaštićenih sistemima dvostepene autorizacije, posle objavljivanja još dve verzije počeo je da se povlači sa scene tako da se činilo da su autori malvera odustali od njega.

Međutim, prošlog meseca Trusteer je otkrio novi bankarski malver nazvan Tilon za koji se nakon analize uzorka malvera ispostavilo da ima neke karakteristike koje su identične onima koje je pokazivao Silon.

Tilon koristi “Man in the Browser” (“MitB”, “napadač u brauzeru”) taktiku. On se ubacuje u brauzer i u potpunosti kontroliše saobraćaj od brauzera ka veb serveru i obrnuto a lista brauzera koje podržava je impresivna, počev od Internet Explorer-a, preko Firefox-a i Chrome-a, do verovatno i svih ostalih brauzera.

On snima sve formulare za prijavu na naloge i sve formulare koje korisnik zaraženog računara popuni šalje svom serveru za komandu i kontrolu i na taj način dolazi do podataka potrebnih za prijavu na naloge, transakcija itd. Malver kontroliše i saobraćaj od veb servera ka brauzeru i zahvaljujući sofisticiranom “pretraži i zameni” mehanizmu on cilja na određene URL adrese i zamenjuje manje i veće delove veb stranica sopstvenim tekstom.

Sve ovo je danas standard za MitB malvere i u tom smislu se Tilon ne razlikuje mnogo od srodnih malvera. Manje više on je osposobljen za isto ono što je radio Silon kada se pojavio 2009. godine, ali i ono što danas mogu Zeus, SpyEye, Shylock i drugi slični malveri. Ono što je najimpresivnije kod malvera Tilon su tehnike koje koristi kako bi izbegao otkrivanje i analizu i preživeo napade antivirusnih programa.

Tilon se ne instalira u potpunosti na virtuelnoj mašini već kada otrkije virtuelnu mašinu on instalira lažni sistemski alat tako da izgleda kao da je reč o još jednom scamware programu zbog čega prava priroda malvera ostaje sakrivena. Razlog zbog koga se Tilon ne instalira na VM je taj što mnogi istraživači koriste virtuelne mašine za svoja istraživanja i analizu malvera. Tilon se instalira kao servis sa naizged autentičnim nazivom i nasumično odabranim nazivom izvršnog fajla. On ubacuje zlonamerni kod u različite izvorne Windows-ove procese, zatim se isključuje, tako da nijedan proces malvera posle toga ne može biti otkriven.

Uzorak dropper-a malvera Tilon detektovalo je samo 4 od 41 antivirusa koje koristi VirusTotal (rezultati od 8. avgusta). Čak i oni antivirusi koji su detektovali dropper svrstali su ga u lažne sistemske alate ne prepoznajući da je reč o bankarskom malveru.

Tilon je otkriven u julu, a već u avgustu je otkrivena još jedna verzija malvera a razlika između dve verzije malvera je u načinu kako se generišu nasumično odabrani nazivi fajlova.

Više detalja o malveru Tilon možete naći na blogu kompanije Trusteer.